Las campañas de piratería pro-Rusia están desenfrenadas en Ucrania

imágenes falsas

Los actores de amenazas prorrusos continúan su incesante búsqueda de objetivos ucranianos con una variedad de campañas que incluyen aplicaciones de Android falsas, ataques de piratería que explotan vulnerabilidades críticas y ataques de phishing por correo electrónico que intentan recopilar credenciales, dijeron investigadores de Google.

Una de las campañas más recientes provino de Turla, un actor de amenazas persistentes avanzadas de habla rusa activo desde al menos 1997 y uno de los más sofisticados del mundo. Según Google, el grupo apuntó a voluntarios pro-ucranianos con aplicaciones de Android que se hacían pasar por plataformas de lanzamiento para ataques de denegación de servicio en sitios web rusos.

fake cyber azov dos app

Google

«Todo lo que tiene que hacer para iniciar el proceso es instalar la aplicación, abrirla y presionar iniciar», afirmó el sitio web falso que promociona la aplicación. «La aplicación inmediatamente comienza a enviar solicitudes a los sitios web rusos para sobrecargar sus recursos y provocar la denegación de servicio».

De hecho, dijo un investigador del Threat Analysis Group de Google, la aplicación envía una sola solicitud GET a un sitio web de destino. Detrás de escena, otro investigador de Google le dijo a Vice que la aplicación fue diseñada para mapear la infraestructura de Internet del usuario y «descubrir dónde se encuentran las personas que podrían estar realizando este tipo de ataques».

Las aplicaciones, alojadas en un dominio que se hacía pasar por el regimiento ucraniano Azov, imitaban otra aplicación de Android, vista por primera vez por Google en marzo, que también afirmaba realizar ataques DoS contra sitios web rusos. A diferencia de las aplicaciones de Turla, stopwar.apk, como se llamaba esta última aplicación, enviaba un flujo continuo de solicitudes hasta que el usuario lo detenía.

stopwar app

Google

«Según nuestro análisis, creemos que la aplicación StopWar fue desarrollada por desarrolladores pro-ucranianos y fue la inspiración en la que los actores de Turla basaron su aplicación CyberAzov DoS falsa», escribió el investigador de Google Billy Leonard.

Otros grupos de piratas informáticos patrocinados por el Kremlin también están apuntando a grupos ucranianos. Las campañas incluyeron la explotación de Follina, el nombre de una vulnerabilidad crítica en todas las versiones compatibles de Windows que se apuntó activamente como día cero durante más de dos meses.

Los investigadores de Google corroboraron un informe de CERT-UA de junio que decía que otro grupo de piratería patrocinado por el Kremlin, rastreado por varios nombres como Fancy Bear, conocido como Pawn Storm, Sofacy Group y APT28, también apuntó a Follina para un intento de infección que explota objetivos con malware llamado CredoMap. Además, Google dijo que Sandworm, otro grupo patrocinado por el gobierno ruso, también está explotando a Follina. Esta campaña usó cuentas gubernamentales comprometidas para enviar enlaces a documentos de Microsoft Office alojados en dominios comprometidos y principalmente a organizaciones de medios en Ucrania.

apt28 credomap

CERT AU

Mientras tanto, la firma de seguridad Palo Alto Networks informó el martes que el grupo de piratería ruso Cloaked Ursa (también conocido como APT29, Nobelium y Cozy Bear) también ha aumentado los ataques de malware desde el comienzo de la invasión rusa de Ucrania, en parte mediante la creación de archivos maliciosos disponibles para descargar en Dropbox y Google Drive. Las agencias de inteligencia de EE. UU. y el Reino Unido han atribuido públicamente APT29 al Servicio de Inteligencia Exterior de Rusia (SVR).

«Esto es consistente con el enfoque histórico del grupo, que se remonta a las campañas de malware dirigidas a Chechenia y otros países del antiguo bloque soviético en 2008», escribieron los investigadores Mike Harbison y Peter Renals de Palo Alto Networks. Más recientemente, APT29 se ha relacionado con un ataque del Comité Nacional Demócrata de EE. UU. descubierto en 2016 y los ataques de 2020 a la cadena de suministro de SolarWindows.

No todos los grupos de amenazas que apuntan a Ucrania están patrocinados por el Kremlin, dijo Google. Recientemente, un actor motivado financieramente rastreado como UAC-0098 se hizo pasar por la Agencia Estatal de Impuestos de Ucrania y proporcionó documentos maliciosos en un intento de explotar a Follina. Google dijo que el actor es un ex corredor de acceso inicial de ransomware que trabajó anteriormente con el grupo de ransomware Conti.

El miércoles, el Comando Cibernético de EE. UU. compartió detalles técnicos sobre varios tipos de malware que, según la agencia, ha estado apuntando a empresas ucranianas en los últimos meses. Las muestras de malware están disponibles en VirusTotal, Pastebin y GitHub. La firma de seguridad Mandiant dijo que dos grupos de espionaje separados usaron el malware, uno rastreado como UNC1151 y atribuido por Mandiant al gobierno de Bielorrusia, y el otro rastreado como UNC2589, que la firma dijo que «cree que se usó en apoyo de los intereses de… El gobierno ruso actúa y ha llevado a cabo una extensa recopilación de espionaje en Ucrania».

La Unión Europea también criticó al gobierno ruso esta semana, señalando que una reciente campaña de denegación de servicio fue solo el último ejemplo de ataques cibernéticos que ha lanzado desde la invasión.

“La agresión militar no provocada e injustificada de Rusia contra Ucrania ha ido acompañada de un aumento significativo de la actividad cibernética maliciosa, incluido un número notorio y preocupante de piratas informáticos y grupos de piratas informáticos que atacan indiscriminadamente instalaciones clave en todo el mundo”, escribieron funcionarios de la UE. «Este aumento en la actividad cibernética maliciosa relacionada con la guerra en Ucrania crea un riesgo inaceptable de efectos secundarios, malas interpretaciones y una posible escalada».

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí